|
Здравствуйте,
On 2013-01-21 15:44, Шкроб Виктор Николаевич wrote:
Добрый день!
Вот дождался очередного брута, отвечаю...
Кусок лога в атаче.
А в WebAdmin -> Settings -> Network -> Blacklisted IPs -> Temporarily Blocked IP Addresses -> Block after XXX failed logins / protocol errors у вас точно включено?
Лог у вас показан, когда очередь событий в SIPS ужепереполнена. Вопрос - чем?
WebAdmin -> Settings -> Router -> Test Address [Access/Signal] что даёт для 3/11/60@178.136.252.28 ?
Во время атаки с сервером работать невозможно.
Помогает только бан с помощью файрвола.
Подскажите, как с этим бороться?
CGPro умеет создавать файл с банлистом? Чтобы я мог его прикрутить к IPFW на роутере.
Best Regards,
Victor Shkrob,
-----Original Message-----
From: CommuniGate Pro Russian Discussions [mailto:CGatePro@mx.ru]
Sent: Friday, January 4, 2013 8:25 PM
To: CommuniGate Pro Russian Discussions
Subject: Re: [CGP] Защита сервера CGP от брутфорса.
Здравствуйте,
On 2013-01-04 22:19, Шкроб Виктор Николаевич wrote:
Версия Сервера: 5.4.8
Если на короткое время увеличить детализацию логов SIP Transport - видно ли в логах, что за клиент (friendly-scanner?) и сцерарий атаки? Просто запросы REGISTER, на которые сервер отвечает 401?
Можно кусочек лога на support@communigate.com ?
-----Original Message-----
From: CommuniGate Pro Russian Discussions [mailto:CGatePro@mx.ru]
Sent: Friday, January 04, 2013 8:17 PM
To: CommuniGate Pro Russian Discussions
Subject: Re: [CGP] Защита сервера CGP от брутфорса.
здравствуйте,
On 2013-01-04 20:22, Шкроб Виктор Николаевич wrote:
Выражается в том, что все сип-аккаунты в этот момент никому не могут дозвониться, т.е. они подключены, но при наборе номера тишина.
В наблюдении -> Real-Time -> SIP -> Прием
81176 31 сек ожидание (1sec) completed udp[хх.хх.хх.хх]:8570 SIGNAL-264970 REGISTER sip:yy.yy.yy.yy
Таких записей на несколько страниц, помогает только бан через ipfw.
А версия CGpro у вас какая?
-----Original Message-----
From: CommuniGate Pro Russian Discussions [mailto:CGatePro@mx.ru]
Sent: Friday, January 04, 2013 4:59 PM
To: CommuniGate Pro Russian Discussions
Subject: Re: [CGP] Защита сервера CGP от брутфорса.
Здравствуйте,
On 2013-01-04 18:36, Шкроб Виктор Николаевич wrote:
Это всё хорошо, только пока не закроешь доступ атакующему с помощью файрвола, работать по SIP с CGP невозможно.
В чём это выражается? Какие проблемы, например, в логах наблюдаются при этом?
Я так понял, что брут занимает все сокеты.
С UDP? Там для работы один сокет нужен...
Отсюда вопрос, где лежит список временно блокируемых адресов?
Хочу этот список использовать для закрытия доступа на уровне файрвола.
CLI: GetTemBlacklistedIPs
<http://www.communigate.com/CommuniGatePro/CLI.html#Misc>
-----Original Message-----
From: CommuniGate Pro Russian Discussions [mailto:CGatePro@mx.ru]
Sent: Friday, November 02, 2012 2:20 PM
To: CommuniGate Pro Russian Discussions
Subject: Re: [CGP] Защита сервера CGP от брутфорса.
Здравствуйте,
в WebAdmin на странице Settings->Network->Blacklisted IPs есть
настройка "Temporarily Blocked IP Addresses" она работает и для SIP.
(если у Вас кластер, то она будет только во вкладке Cluster-wide)
On 02.11.2012 10:40, Шкроб Виктор Николаевич wrote:
Всем добрый день,
Сегодня ночью наш CGP забрутили по SIP с IP 85.195.82.185.
Пока я спал, сервис SIP не работал.
Господа, посоветуйте пожалуйста, защиту от подобных атак.
Может скрипт, который автоматически банил бы IP после 10-ти неудачных попыток авторизации, на час например.
CGP стоит на FreeBSD 8.2
Best Regards,
Victor Shkrob,
IT Engineer
--
Best regards,
Dmitry Akindinov
|
|